Linux BackTrack es sin dudas la distribución de este sistema operativo más utilizada por los expertos de la seguridad informática para realizar variadas pruebas con el fin de realizar auditorías y test de penetración.  Su principal diferencia con el resto radica en que incluye una amplia gama de herramientas preinstaladas como analizadores de puertos, paquetes y vulnerabilidades, archivos de exploits, de análisis forense y conexiones inalámbricas.  Su uso puede ser a través de un Live CD o instalándolo directamente en el disco duro de la computadora.

Tanto los software como todos los aspectos que rodean a la informática están hechos y construidos por los seres humanos, por lo tanto, es posible afirmar que cualquier componente por muy bien desarrollado que esté, es proclive a sufrir alguna falla o vulnerabilidad. Sin embargo, en este caso, Linux BackTrack no es directamente el producto vulnerable. El incidente fue descubierto y reportado por un estudiante del Instituto INFOSEC, quien encontró esta falla en la interfaz de conexión inalámbrica WICD (en inglés Wireless Interface Connection Daemon). El problema se origina debido a un filtrado inadecuado en la interfaz WICD DBUS (Desktop Bus), componente que permite que las distintas aplicaciones se comuniquen entre sí. Producto de lo anterior, un usuario malintencionado podría enviar parámetros inválidos a DBUS, los cuales luego son escritos en un archivo de configuración de WICD. El mayor problema es que estos parámetros erróneos pueden ser ejecutables o scripts, lo que permite la ejecución arbitraria de código con privilegios de usuario root bajo determinadas circunstancias como el establecimiento de una conexión inalámbrica. Por lo mismo, estamos ante una vulnerabilidad de escalada de privilegios.

Aunque algunos reportes mencionan que esta vulnerabilidad fue encontrada en BackTrack, el error se produce en el componente WICD DBUS y no en el sistema operativo en sí, siendo potencialmente vulnerables otras distribuciones de Linux, pese a que el problema fue reproducido en BackTrack 5. Para todos aquellos que utilicen este componente, recomendamos la instalación de la actualización de WICD 1.7.2 que corrige el problema anteriormente descrito. En forma complementaria, una educación por parte del usuario que haga énfasis en un comportamiento preventivo ayuda a minimizar el riesgo de amenazas informáticas independiente de la plataforma utilizada.

André Goujon
Especialista de Awareness & Research

Categories: Alertas
No Comments »

Cuando se habla del desarrollo de aplicaciones para dispositivos móviles es necesario tener en cuenta una serie de puntos acerca de la plataforma con el objetivo de garantizar la seguridad. Android es un sistema operativo para smartphones que contiene aplicaciones. Por defecto el sistema viene instalado con un conjunto de aplicaciones básicas como lo son el teléfono, correo, agenda de contactos y algunas más. Sin embargo cuando un desarrollador quiere crear su propia aplicación para esta plataforma debe seguir una serie de buenas prácticas al utilizar las API de Android y el SDK provisto por Google.

Las aplicaciones para esta plataforma se encuentran desarrolladas en Java y se ejecutan dentro de una máquina virtual, y para ser instalada en el sistema se distribuyen como archivos con extensión APK. Estas aplicaciones pueden estar disponibles en el Android Market publicadas por su desarrollador o en otros repositorios de aplicaciones no oficiales.

Android se encuentra basado en Linux, incluyendo además, sus propios mecanismos de seguridad adaptados para los smartphones. De esta manera el sistema operativo logra combinar una serie de funcionalidades como memoria compartida, multitarea, identificadores de usuarios (UIDs), permisos de archivo, Java y toda su conocida estructura. El resultado de estas combinaciones lo convierte un sistema multiusuario, donde cada aplicación se ejecuta en un proceso separado bajo un UID diferente y con sus propios permisos.

Ver más… »

Categories: Malware
No Comments »

Una de las cosas que tratamos de hacer especial hincapié es la importancia de mantener actualizados a todo momento tanto el sistema operativo que maneje, ya sea Windows, GNU Linux o Mac, así como también los programas que posean. Esto es porque muchas veces son descubiertas nuevas vulnerabilidades que son aprovechadas por los creadores de códigos maliciosos e incluidas en sus creaciones para explotar estas vulnerabilidades para infectar a los equipos desactualizados.

En este caso hablaremos de una vulnerabilidad crítica encontrada en dos de los productos principales de la empresa Adobe: Adobe Reader y Adobe Acrobat que puede causar el cierre inesperado del programa o hacer que el atacante adquiera control total por sobre el sistema. Las versiones y sistemas afectados son los siguientes:

• Adobe Reader X (10.1.1) y sus predecesoras para Windows y Mac

• Adobe Reader 9.4.6 y las versiones anteriores para UNIX, Windows y Mac

• Adobe Acrobat X (10.1.1) y sus predecesoras para Windows y Mac

• Adobe Acrobat 9.4.6 y sus versiones anteriores para Windows y Mac

La fecha de lanzamiento de las actualizaciones que contienen la solución definitiva ante esta vulnerabilidad serán distintas según el sistema operativo. Para los equipos con sistemas Windows está previsto el lanzamiento de la actualización de las versiones 9.x aproximadamente para la semana del 12/12/11. Las demás actualizaciones para las otras versiones y sistemas operativos serán lanzadas aproximadamente el 10 y 12 de Enero del próximo año, debido a que poseen una funcionalidad para protegerse de esta vulnerabilidad.

Esta funcionalidad no es conocida por todos, y así lo hagan, es indispensable que verifiquen que se encuentra activa para así poder evitar cualquier amenaza que utilice esta vulnerabilidad. Para esto pueden dirigirse a Edición, luego a Preferencias, seleccionar la categoría General y seleccionar la opción Activar modo protegido al iniciar.

Resumiendo lo hablado anteriormente, es fundamental que siempre se apliquen las actualizaciones al momento de lanzamiento de las mismas, configurar el software de la manera adecuada, además de contar con una herramienta solución antivirus con capacidad de detección proactiva. Los productos de ESET ya detectan la amenaza como Win32/Wisp.E troyano y el exploit como PDF/Exploit.CVE-2011-2462.A troyano.

Gonzalo Presa
Analista Jr. de Seguridad

Categories: Malware, Vulnerabilidades
No Comments »

En el día de ayer, se realizó un ataque sobre grandes empresas del medio tecnológico en la República Democrática del Congo. Un atacante, conocido bajo el nombre de AlpHaNiX, realizó un envenenamiento de cache DNS (DNS Caché Poisoning) contra Google, Apple, Yahoo, YouTube y Gmail. De esta forma, los usuarios que intentaran ingresar a los dominios afectados, en algunos casos observarían como si el sitio hubiera sufrido un ataque del tipo Defacement, donde se modifica la página de inicio, cuando en realidad el servidor DNS resolvió el dominio a la dirección IP del atacante:

A continuación les mostramos todos los dominios que fueron afectados, de las empresas mencionadas en el título de este mismo post, todas en sus dominios del país también afectado:

Ver más… »

Categories: Alertas
3 Comments »

Un investigador australiano, Silvio Cesare, ha desarrollado una herramienta que es capaz de detectar vulnerabilidades en Linux de forma automática.

De acuerdo a sus estudios, los problemas y defectos que tienen las aplicaciones se deben en gran parte en la inseguridad de Internet. Él plantea que si se incorpora la detección de errores de forma temprana, desde la etapa de QA por ejemplo, se podría hacer que el software sea más seguro desde el comienzo.

En el modelo tradicional, para detectar paquetes con fallos, es necesario demostrar la lógica de Hoare. Sumado a eso, se realiza un control de modelado y un análisis estático. A su vez, actualmente, los desarrolladores normalmente hacen uso de código embebido de otros proyectos utilizando enlaces estáticos en vez de librerías externas. Eso significa que se mantiene una copia interna del código de la librería.

El problema, es que este comportamiento no es fomentado por las políticas de utilización de paquetes de Linux, ya que más de dos versiones de una librería necesitan ser mantenidas de forma adecuada. Las librerías viejas además, suelen tener fallos de seguridad.

Este problema afecta a más de 10 mil paquetes en varias distribuciones de Linux. De forma manual, en Debian por ejemplo, se puede localizar más de 400 paquetes, sin embargo en otras distribuciones no se rastrean paquetes en absoluto.

Ver más… »

Categories: Alertas, Curiosidades
6 Comments »